信息系統(tǒng)安全集成服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供者服務(wù)能力的尺度����。資質(zhì)級(jí)別分為一級(jí)�、二級(jí)、三級(jí)共三個(gè)級(jí)別����,其中一級(jí)最高,三級(jí)最低�。安全集成服務(wù)提供方的服務(wù)能力主要從以下四個(gè)方面體現(xiàn):基本資格、服務(wù)管理能力、服務(wù)技術(shù)能力和服務(wù)過(guò)程能力�;服務(wù)人員的能力主要從掌握的知識(shí)�����、安全集成服務(wù)的經(jīng)驗(yàn)等綜合評(píng)定����。
信息系統(tǒng)安全集成(以下簡(jiǎn)稱:安全集成)服務(wù)資質(zhì)認(rèn)證是依據(jù)ISCCC-SV-003:2011《信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證規(guī)則》開(kāi)展�����。
ISCCC-SV-003:2011《信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證規(guī)則》是根據(jù)我國(guó)信息系統(tǒng)安全集成服務(wù)管理的要求�,基于目前國(guó)內(nèi)安全集成服務(wù)商的實(shí)際情況����,參考GB/T 20261-2006《信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型》、YD/T 1621-2007《網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)評(píng)估準(zhǔn)則》��、ISO/IEC 21827-2008《信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型》等標(biāo)準(zhǔn)制定而成。該標(biāo)準(zhǔn)的評(píng)估對(duì)象是為信息系統(tǒng)所有者提供安全集成服務(wù)的組織�����。
該規(guī)則提出了安全集成服務(wù)提供者應(yīng)具備的服務(wù)能力要求�,及實(shí)施安全集成服務(wù)資質(zhì)認(rèn)證的程序與管理要求。在該規(guī)則中,安全集成服務(wù)能力要求包含基本資格、管理能力����、技術(shù)能力與過(guò)程能力要求等內(nèi)容��。
基本資格部分包括了服務(wù)提供者的注冊(cè)資本�����、從業(yè)經(jīng)驗(yàn)�����、人員素質(zhì)要求�、項(xiàng)目經(jīng)驗(yàn)�����、固定工作場(chǎng)所等方面的要求��。
管理能力部分包括應(yīng)制定技術(shù)和管理措施確?����?蛻粜畔⒌陌踩?��、可控;制定保密管理要求���,明確保密崗位與職責(zé)��,定期對(duì)服務(wù)人員進(jìn)行保密教育與培訓(xùn)��;建立人員管理程序,使每一位服務(wù)人員持續(xù)滿足崗位職責(zé)的需求�����;按照持續(xù)改進(jìn)的要求制定安全集成項(xiàng)目的管理制度�����;使用符合標(biāo)準(zhǔn)要求的檢查列表��、文檔模板��、測(cè)試工具�;建立項(xiàng)目管理�����、質(zhì)量管理、信息安全管理體系文件���。
技術(shù)能力部分包括與安全集成服務(wù)有關(guān)的服務(wù)方案��、服務(wù)報(bào)告的制定能力����;對(duì)安全集成系統(tǒng)進(jìn)行檢驗(yàn)和檢測(cè)的能力�����;具備安全集成服務(wù)所需工具的研發(fā)能力等���。
過(guò)程能力部分是指安全集成服務(wù)過(guò)程的集成準(zhǔn)備����、方案設(shè)計(jì)��、建設(shè)實(shí)施、安全保證四個(gè)關(guān)鍵階段�����。集成準(zhǔn)備階段主要是界定安全需求、簽訂服務(wù)合同��、確定服務(wù)人員����、簽訂保密協(xié)議等;方案設(shè)計(jì)階段主要是充分考慮各方面的安全需求和安全背景�����,以設(shè)計(jì)出適用的項(xiàng)目方案;建設(shè)實(shí)施階段主要是在客戶環(huán)境中實(shí)現(xiàn)項(xiàng)目方案的預(yù)期安全目標(biāo)和效果�;安全保證階段主要是通過(guò)在安全方案設(shè)計(jì)階段、建設(shè)實(shí)施階段等過(guò)程中,收集客戶的安全需求已經(jīng)得到滿足的證據(jù)����。
信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證流程
信息系統(tǒng)安全集成服務(wù)資質(zhì)的服務(wù)過(guò)程分為四個(gè)階段:集成準(zhǔn)備�、方案設(shè)計(jì)�����、建設(shè)實(shí)施�����、安全保證��。
1�、集成準(zhǔn)備階段主要是界定安全需求、簽訂服務(wù)合同�����、確定服務(wù)人員、簽訂保密協(xié)議等�����;
2�����、方案設(shè)計(jì)階段主要是充分考慮各方面的安全需求和安全背景���,以設(shè)計(jì)出適用的項(xiàng)目方案��;
3�����、建設(shè)實(shí)施階段主要是在客戶環(huán)境中實(shí)現(xiàn)項(xiàng)目方案的預(yù)期安全目標(biāo)和效果�����;
4、安全保證階段主要是通過(guò)在方案設(shè)計(jì)階段���、建設(shè)實(shí)施階段等過(guò)程中����,收集客戶需求已經(jīng)得到滿足的證據(jù)����。
信息系統(tǒng)安全集成服務(wù)資質(zhì)的認(rèn)證過(guò)程分為五個(gè)階段:提交申請(qǐng)���、文檔審核、現(xiàn)場(chǎng)審核�、認(rèn)證決定、證后監(jiān)督����。
信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證周期
信息系統(tǒng)安全集成服務(wù)資質(zhì)一級(jí)的認(rèn)證時(shí)限是指自申請(qǐng)被正式受理之日起至頒發(fā)認(rèn)證證書(shū)時(shí)止所實(shí)際發(fā)生的時(shí)間,其中包括認(rèn)證受理����、文檔審核�、現(xiàn)場(chǎng)審核、認(rèn)證決定以及證書(shū)頒發(fā)環(huán)節(jié)�����。 申請(qǐng)信息系統(tǒng)安全集成服務(wù)資質(zhì)一級(jí)的大概完成時(shí)間是4-6個(gè)月�����。
信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證注意事項(xiàng)
信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證模式�����,需要提醒申請(qǐng)的企業(yè)注意:
認(rèn)證模式:現(xiàn)場(chǎng)檢查 + 特定服務(wù)檢查 + 獲證后監(jiān)督
1����、現(xiàn)場(chǎng)檢查是在文檔審核通過(guò)后����,審核組到申請(qǐng)方的注冊(cè)地址或業(yè)務(wù)量較集中的辦公地址進(jìn)行的標(biāo)準(zhǔn)符合性驗(yàn)證活動(dòng)。
2�、特定服務(wù)檢查是審核組對(duì)申請(qǐng)方的服務(wù)團(tuán)隊(duì)進(jìn)行的特定服務(wù)過(guò)程演示或到客戶現(xiàn)場(chǎng)見(jiàn)證服務(wù)過(guò)程的檢查活動(dòng)�,從而判定該申請(qǐng)方的服務(wù)能力。
3��、獲證后監(jiān)督是確保獲證方在獲證后能夠持續(xù)滿足標(biāo)準(zhǔn)的要求,在證書(shū)的三年有效期內(nèi)認(rèn)證機(jī)構(gòu)對(duì)獲證方進(jìn)行一或兩次現(xiàn)場(chǎng)監(jiān)督審核����。
注意:如有特殊情況發(fā)生�����,認(rèn)證機(jī)構(gòu)可增加監(jiān)督審核頻次�����。
信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證常見(jiàn)問(wèn)題
1�、信息系統(tǒng)安全集成服務(wù)資質(zhì)一級(jí)認(rèn)證證書(shū)的有效期是多久�?
答:信息系統(tǒng)安全集成服務(wù)資質(zhì)一級(jí)認(rèn)證證書(shū)有效期為3年�����。
2�����、證書(shū)到期前多久�,可以申請(qǐng)?jiān)俅握J(rèn)證�����?
答:在認(rèn)證證書(shū)有效期滿的前三個(gè)月內(nèi)�,服務(wù)提供者可申請(qǐng)?jiān)僬J(rèn)證。再認(rèn)證程序與初次認(rèn)證程序相同�����。
3、信息系統(tǒng)安全集成服務(wù)提供者出現(xiàn)何種情形之一的�,認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)暫停認(rèn)證證書(shū)�?
答:(1) 未按規(guī)定及時(shí)接受監(jiān)督審核或再認(rèn)證;(2) 未按規(guī)定使用認(rèn)證證書(shū)�;(3) 監(jiān)督結(jié)果證明信息系統(tǒng)安全集成服務(wù)提供者的信息安全服務(wù)能力不符合認(rèn)證要求�,但不需要立即撤銷認(rèn)證證書(shū)。暫停期限一般為三個(gè)月����。在三個(gè)月內(nèi)��,申請(qǐng)方可提出恢復(fù)證書(shū)的申請(qǐng)���,認(rèn)證機(jī)構(gòu)經(jīng)審核、批準(zhǔn)后方可使用該證書(shū)���。在認(rèn)證證書(shū)暫停期間,申請(qǐng)方不得繼續(xù)使用證書(shū)��。
4、信息系統(tǒng)安全集成服務(wù)提供者出現(xiàn)何種情形之一的��,認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)撤銷其認(rèn)證證書(shū)���?
答:(1) 監(jiān)督結(jié)果證明信息系統(tǒng)安全集成服務(wù)提供者的信息安全服務(wù)能力不符合認(rèn)證要求,應(yīng)立即撤銷證書(shū)的���;(2) 認(rèn)證證書(shū)暫停使用期間,信息系統(tǒng)安全集成服務(wù)提供者未采取有效糾正措施����;(3) 信息系統(tǒng)安全集成服務(wù)提供者出現(xiàn)嚴(yán)重責(zé)任事故�����,影響其繼續(xù)有效提供集成服務(wù)(4) 信息系統(tǒng)安全集成服務(wù)提供者不接受認(rèn)證機(jī)構(gòu)對(duì)其實(shí)施的監(jiān)督或未申請(qǐng)?jiān)僬J(rèn)證�����。
客服中心
在線咨詢
服務(wù)熱線
微信服務(wù)號(hào)
體系認(rèn)證
